Idag vill vi prata om VMware Tanzu, en ny linje av produkter och tjänster som tillkännagavs under förra årets VMWorld-konferens. På agendan står ett av de mest intressanta verktygen: Tanzu Mission Control.
Var försiktig: det finns många bilder under snittet.
Vad är Mission Control
Som företaget självt säger i sin blogg är huvudmålet med VMware Tanzu Mission Control att "bringa ordning i klusterkaos." Mission Control är en API-driven plattform som gör det möjligt för administratörer att tillämpa policyer på kluster eller grupper av kluster och ställa in säkerhetsregler. SaaS-baserade verktyg integreras säkert i Kubernetes-kluster via en agent och stödjer en mängd olika standardklusteroperationer, inklusive livscykelhanteringsoperationer (distribution, skalning, borttagning, etc.).
Ideologin för Tanzu-linjen är baserad på maximal användning av öppen källkodsteknologi. För att hantera livscykeln för Tanzu Kubernetes Grid-kluster används Cluster API, Velero används för säkerhetskopiering och återställning, Sonobuoy används för att övervaka överensstämmelse med konfigurationen av Kubernetes-kluster och Contour som ingångskontroller.
Den allmänna listan över Tanzu Mission Control-funktioner ser ut så här:
- centraliserad hantering av alla dina Kubernetes-kluster;
- identitets- och åtkomsthantering (IAM);
- diagnostik och övervakning av klusterstatus;
- hantera konfiguration och säkerhetsinställningar;
- schemalägga regelbundna hälsokontroller i kluster;
- skapa säkerhetskopior och återställa;
- kvotförvaltning;
- visuell representation av resursutnyttjandet.
Varför är det viktigt
Tanzu Mission Control kommer att hjälpa företag att lösa problemet med att hantera en stor flotta av Kubernetes-kluster lokaliserade i lokaler, i molnet och hos flera tredjepartsleverantörer. Förr eller senare tvingas alla företag vars verksamhet är knuten till IT att stödja många heterogena kluster hos olika leverantörer. Varje kluster förvandlas till en snöboll som behöver kompetent organisation, lämplig infrastruktur, policyer, skydd, övervakningssystem och mycket mer.
Nuförtiden strävar alla företag efter att minska kostnaderna och automatisera rutinprocesser. Och det komplexa IT-landskapet främjar helt klart inte besparingar och koncentration på prioriterade uppgifter. Tanzu Mission Control ger organisationer möjligheten att driva flera Kubernetes-kluster distribuerade över flera leverantörer samtidigt som man harmoniserar driftsmodellen.
Lösningsarkitektur
Tanzu Mission Control är en multi-tenant-plattform som ger användare tillgång till en uppsättning mycket konfigurerbara policyer som kan tillämpas på Kubernetes-kluster och grupper av kluster. Varje användare är knuten till en organisation, som är "roten" av resurser – klustergrupper och arbetsytor.
Vad Tanzu Mission Control kan göra
Ovan har vi redan kort listat listan över funktioner i lösningen. Låt oss se hur detta implementeras i gränssnittet.
En enda vy av alla Kubernetes-kluster i företaget:
Skapa ett nytt kluster:
Du kan omedelbart tilldela en grupp till ett kluster, och den kommer att ärva de policyer som tilldelats den.
Klusteranslutning:
Redan befintliga kluster kan helt enkelt anslutas med en speciell agent.
Klustergruppering:
I klustergrupper kan du gruppera kluster för att ärva tilldelade principer omedelbart på gruppnivå, utan manuell inblandning.
Arbetsytor:
Ger möjlighet att flexibelt konfigurera åtkomst till en applikation som finns inom flera namnområden, kluster och molninfrastrukturer.
Låt oss ta en närmare titt på funktionsprinciperna för Tanzu Mission Control i laboratoriearbete.
Lab #1
Naturligtvis är det ganska svårt att i detalj föreställa sig driften av Mission Control och nya Tanzu-lösningar utan övning. För att du ska kunna utforska linjens huvuddrag ger VMware tillgång till flera laboratoriebänkar. Dessa bänkar låter dig utföra laboratoriearbete med steg-för-steg-instruktioner. Förutom själva Tanzu Mission Control finns andra lösningar tillgängliga för testning och studier. En komplett lista över laboratoriearbeten finns .
För praktisk bekantskap med olika lösningar (inklusive ett litet "spel" på vSAN) tilldelas olika lång tid. Oroa dig inte, det är väldigt relativa siffror. Till exempel kan ett labb på Tanzu Mission Control "lösas" i upp till 9 och en halv timme när man passerar hemifrån. Dessutom, även om timern går ut, kan du gå tillbaka och gå igenom allt igen.
Godkänd laboratoriearbete #1
För att komma åt labbet behöver du ett VMware-konto. Efter auktorisering öppnas ett popup-fönster med huvudkonturen av arbetet. Detaljerade instruktioner kommer att placeras på höger sida av skärmen.
Efter att ha läst en kort introduktion till Tanzu kommer du att bli inbjuden att öva i den interaktiva simuleringen av Mission Control.
Ett nytt popup-fönster för Windows-maskin öppnas och du kommer att bli ombedd att utföra några grundläggande operationer:
- skapa ett kluster
- konfigurera dess grundläggande parametrar
- uppdatera sidan och se till att allt är korrekt konfigurerat
- ställ in policyer och kontrollera klustret
- skapa en arbetsyta
- skapa namnutrymme
- arbeta med policyerna igen, varje steg förklaras i detalj i manualen
- uppgradering av demokluster
Naturligtvis ger den interaktiva simuleringen inte tillräckligt med frihet för oberoende studier: du rör dig längs skenor som är förlagda av utvecklarna.
Lab #2
Här har vi redan att göra med något allvarligare. Detta laboratoriearbete är inte lika bundet till "skenorna" som det tidigare och kräver mer noggranna studier. Vi kommer inte att presentera det här i sin helhet: för att spara tid kommer vi bara att analysera den andra modulen, den första ägnas åt den teoretiska aspekten av Tanzu Mission Controls arbete. Om du vill kan du gå igenom det helt på egen hand. Denna modul ger oss en djupdykning i klusterlivscykelhantering genom Tanzu Mission Control.
Obs: Tanzu Mission Controls laboratoriearbete uppdateras och förfinas regelbundet. Om några skärmar eller steg skiljer sig från de nedan när du slutför labbet, följ anvisningarna till höger på skärmen. Vi kommer att gå igenom den aktuella versionen av LR i skrivande stund och överväga dess nyckelelement.
Godkänd laboratoriearbete #2
Efter auktoriseringsprocessen i VMware Cloud Services lanserar vi Tanzu Mission Control.
Det första steget som labbet föreslår är att distribuera ett Kubernetes-kluster. Först måste vi komma åt Ubuntu VM med PuTTY. Starta verktyget och välj en session med Ubuntu.
Vi kör tre kommandon i tur och ordning:
- skapa ett kluster:
kind create cluster --config 3node.yaml --name=hol - laddar KUBECONFIG-fil:
export KUBECONFIG="$(kind get kubeconfig-path --name="hol")" - nodutgång:
kubectl get nodes
Nu måste klustret vi skapade läggas till i Tanzu Mission Control. Från PuTTY går vi tillbaka till Chrome, går till Clusters och klickar FÄSTA KLUSTER.
Välj en grupp från rullgardinsmenyn - standard, ange namnet som föreslagits av labbet och klicka REGISTRERA.
Kopiera det mottagna kommandot och gå till PuTTY.
Vi utför det mottagna kommandot.
För att spåra framsteg, kör ett annat kommando: watch kubectl get pods -n vmware-system-tmc. Vi väntar tills alla containrar har en status Springa eller Avslutade.
Gå tillbaka till Tanzu Mission Control och klicka VERIFIERA ANSLUTNING. Om allt gick bra ska indikatorerna för alla kontroller vara gröna.
Låt oss nu skapa en ny grupp med kluster och distribuera ett nytt kluster där. Gå till Klustergrupper och klicka NY KLUSTERGRUPP. Ange namnet och klicka SKAPA.
Den nya gruppen bör omedelbart visas i listan.
Låt oss distribuera ett nytt kluster: gå till kluster, Tryck NYTT KLUSTER och välj alternativet som är kopplat till laboratoriearbetet.
Låt oss lägga till namnet på klustret, välja den grupp som tilldelats det - i vårt fall, praktiska laborationer - och distributionsregionen.
Det finns andra alternativ tillgängliga när du skapar ett kluster, men det är ingen idé att ändra dem under labbet. Välj den konfiguration du behöver och klicka Nästa.
Vissa parametrar måste redigeras, klicka för att göra detta Redigera.
Låt oss öka antalet arbetsnoder till två, spara parametrarna och klicka SKAPA.
Under processen kommer du att se en förloppsindikator som denna.
Efter en lyckad distribution kommer du att se den här bilden. Alla kvitton ska vara gröna.
Nu måste vi ladda ner KUBECONFIG-filen för att hantera klustret med vanliga kubectl-kommandon. Detta kan göras direkt via Tanzu Mission Controls användargränssnitt. Ladda ner filen och fortsätt att ladda ner Tanzu Mission Control CLI genom att klicka Klicka här.
Välj önskad version och ladda ner CLI.
Nu måste vi skaffa API-token. För att göra detta, gå till Mitt Konto och generera en ny token.
Fyll i fälten och klicka GENERERA.
Kopiera den resulterande token och klicka FORTSÄTTA. Öppna Power Shell och ange kommandot tmc-login, sedan token som vi fick och kopierade i föregående steg och sedan Login Context Name. Välja info loggar från de föreslagna, region och olympus-default som en ssh-nyckel.
Vi får namnutrymmen:kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get namespaces.
Stiga på kubectl --kubeconfig=C:UsersAdministratorDownloadskubeconfig-aws-cluster.yml get nodesför att se till att alla noder är i status Klar.
Nu måste vi distribuera en liten applikation i detta kluster. Låt oss göra två distributioner - kaffe och te - i form av tjänsterna coffee-svc och tea-svc, som var och en lanserar olika bilder - nginxdemos/hello och nginxdemos/hello:plain-text. Detta görs enligt följande.
Genom Power gå till nedladdningar och hitta filen cafe-services.yaml.
På grund av vissa ändringar i API:et måste vi uppdatera det.
Podsäkerhetspolicyer är aktiverade som standard. För att köra applikationer med privilegier måste du länka ditt konto.
Skapa en bindning: kubectl --kubeconfig=kubeconfig-aws-cluster.yml create clusterrolebinding privileged-cluster-role-binding --clusterrole=vmware-system-tmc-psp-privileged --group=system:authenticated
Låt oss distribuera applikationen: kubectl --kubeconfig=kubeconfig-aws-cluster.yml apply -f cafe-services.yaml
Vi kontrollerar: kubectl --kubeconfig=kubeconfig-aws-cluster.yml get pods
Modul 2 är klar, du är vacker och fantastisk! Vi rekommenderar att du slutför de återstående modulerna, inklusive policyhantering och efterlevnadskontroller, på egen hand.
Om du vill slutföra detta labb i sin helhet hittar du det här . Och vi går vidare till den sista delen av artikeln. Låt oss prata om vad vi lyckades se, dra de första exakta slutsatserna och berätta i detalj vad Tanzu Mission Control är i förhållande till verkliga affärsprocesser.
Åsikter och slutsatser
Naturligtvis är det för tidigt att prata om praktiska frågor om att arbeta med Tanzu. Det finns inte så mycket material för självstudier, och idag är det inte möjligt att använda en testbänk för att "peta" en ny produkt från alla håll. Men även från tillgängliga data kan vissa slutsatser dras.
Fördelar med Tanzu Mission Control
Systemet visade sig vara riktigt intressant. Jag vill omedelbart lyfta fram några praktiska och användbara godsaker:
- Du kan skapa kluster via webbpanelen och genom konsolen, vilket utvecklare verkligen kommer att gilla.
- RBAC-hantering genom arbetsytor implementeras i användargränssnittet. Det fungerar inte i labbet ännu, men i teorin är det en fantastisk sak.
- Mallbaserad centraliserad behörighetshantering
- Full tillgång till namnutrymmen.
- YAML redaktör.
- Skapa nätverkspolicyer.
- Klusterhälsoövervakning.
- Möjlighet att säkerhetskopiera och återställa via konsolen.
- Hantera kvoter och resurser med visualisering av faktisk utnyttjande.
- Automatisk lansering av klusterinspektion.
Återigen är många komponenter för närvarande under utveckling, så det är för tidigt att helt tala om för- och nackdelarna med vissa verktyg. Förresten, Tanzu MC, baserat på demonstrationen, kan uppgradera ett kluster i farten och i allmänhet tillhandahålla hela livscykeln för ett kluster för flera leverantörer samtidigt.
Här är några exempel på "högnivå".
Till någon annans kluster med egen stadga
Låt oss säga att du har ett utvecklingsteam med tydligt definierade roller och ansvar. Alla är upptagna med sin egen verksamhet och bör inte ens av misstag störa sina kollegors arbete. Eller så har teamet en eller flera mindre erfarna specialister som man inte vill ge onödiga rättigheter och friheter. Låt oss också anta att du har Kubernetes från tre leverantörer samtidigt. Följaktligen, för att begränsa rättigheterna och föra dem till en gemensam nämnare, måste du gå till varje kontrollpanel en efter en och registrera allt manuellt. Håller med, inte det mest produktiva tidsfördriv. Och ju mer resurser du har, desto tråkigare är processen. Tanzu Mission Control låter dig hantera avgränsningen av roller från ett "ett fönster". Enligt vår åsikt är detta en mycket bekväm funktion: ingen kommer att bryta något om du av misstag glömmer att ange de nödvändiga rättigheterna någonstans.
Förresten, våra kollegor från MTS i sin blogg Kubernetes från leverantören och öppen källkod. Om du länge velat veta vad skillnaderna är och vad du ska titta efter när du väljer, välkommen.
Kompakt arbete med stockar
Ett annat exempel från det verkliga livet är att arbeta med stockar. Låt oss anta att laget också har en testare. En vacker dag kommer han till utvecklarna och meddelar: "en bugg har hittats i applikationen, vi kommer att fixa det omgående." Det är naturligt att det första en utvecklare vill bekanta sig med är loggarna. Att skicka dem som filer via e-post eller telegram är dåligt uppförande och förra seklet. Mission Control erbjuder ett alternativ: du kan ställa in speciella rättigheter för utvecklaren så att de bara kan läsa loggar i ett specifikt namnområde. I det här fallet behöver testaren bara säga: "det finns buggar i en sådan och en applikation, i ett sådant och ett fält, i ett sådant och ett namnområde," och utvecklaren kan enkelt öppna loggarna och kunna lokalisera problemet. Och på grund av begränsade rättigheter kommer du inte att kunna fixa det direkt om din kompetens inte tillåter det.
Ett hälsosamt kluster har en hälsosam tillämpning.
En annan stor egenskap hos Tanzu MC är klusterhälsospårning. Att döma av preliminärt material låter systemet dig se viss statistik. För närvarande är det svårt att säga exakt hur detaljerad denna information kommer att vara: än så länge ser allt ganska blygsamt och enkelt ut. Det finns övervakning av CPU och RAM-belastning, status för alla komponenter visas. Men även i en sådan spartansk form är det en mycket användbar och effektiv detalj.
Resultat av
Naturligtvis, i laboratoriepresentationen av Mission Control, under till synes sterila förhållanden, finns det några grova kanter. Du kommer förmodligen själv att märka dem om du bestämmer dig för att gå igenom arbetet. Vissa aspekter görs inte tillräckligt intuitivt - även en erfaren administratör måste läsa manualen för att förstå gränssnittet och dess möjligheter.
Men med tanke på produktens komplexitet, dess betydelse och den roll den kommer att spela på marknaden, blev den bra. Det känns som att skaparna försökte förbättra användarens arbetsflöde. Gör varje kontrollelement så funktionellt och begripligt som möjligt.
Allt som återstår är att prova Tanzu på en testbänk för att verkligen förstå alla dess fördelar, nackdelar och innovationer. Så snart en sådan möjlighet dyker upp kommer vi att dela med Habrs läsare en detaljerad rapport om hur man arbetar med produkten.
Källa: will.com